星空（中国）官方网站-官方授权体育平台

　　民用机场作为国家航空运输重要组成部分,机场信息化的水平与应用、信息管理和网络的安全,制约着公共服务功能、旅客服务水平和机场各业务流程,直接关联航班配置平衡、航班数据安全甚至严重影响航空安全。面对日益严峻的航空安全问题,民用机场的网络安全便成为迫切急需解决的问题。本文即是从此目的出发,通过对某机场网络系统安全解决方案的分析与思考,进一步加强机场网络系统的安全。

　　随着民用机场服务功能的日益完善,和国际化服务水平的日益提高,机场业务愈加复杂、庞大,特别是计算机技术和网络系统在机场的普及和广泛应用,软件规模、数据处理空前膨胀,网络系统安全这一复杂的综合问题严重影响机场运输生产和航空安全。

　　机场航站区网络系统在现有网络结构及应用模式下,可能存在的主要安全风险有:外部连接网络边界安全攻击的风险机场信息系统有多个外部网络连接,必须能够对这些连接的数据流进行深度的检测和严格的控制,进行精细化管理,才能真正保证这些连接不会引入安全攻击风险,而且也保证单个内部网络风险不会扩散到相连接的其他信息系统网络中。

　　机场网络承载多种复杂应用信息系统,机场各业务强烈依赖这些应用系统,必须有效地保证这些应用系统核心的安全,如应用系统数据的保密性、可靠性、可用性,应用系统访问控制等多个方面。

　　根据分析,机场网络系统涉及非常多的分支机构的网络连接需求,主要包括未来新建航站楼、各个应用系统网络、移动以及外出人员等,这些分支机构需要一种简单而且方便的网络接入方式,而且必须保证这些接入的安全性。

　　机场网络接入用户复杂、数量大,需要对这些用户的网络访问行为进行多层次的控制,以保证应用系统的有效运行,这些层次包括:网络接入控制、网络层的访问控制能力、网络应用的监控、用户主机安全状态的监控等,以实现对用户的安全管理。

　　信息安全方案遵循安全PDCA原则。信息安全管理的本质可看作动态地对信息安全风险的管理,即实现对信息和信息系统的风险进行有效管理和控制。信息安全作为一个管理过程,则对PDCA模型有适用性,结合信息安全管理相关标准BS7799(ISO17799),信息安全管理过程就是PLAN-DO-CHECK-ACT(计划-实施与部署-监控与评估-维护和改进)的循环过程。

　　解决以上风险需要端到端信息安全解决方案,是指信息在应用系统计算生成、通信、存储过程中都保证安全性,则该信息系统是端到端安全的。本文主要分析信息系统计算、通信过程的安全,而计算、通信过程安全又大体可以划分为网络边缘7层安全防护及内部终端安全防护两大部分。

　　整个反病毒网络选用经过多年来的不断开发、完善,屡次在国际专业认证中获得多项殊荣的“卡巴斯基反病毒软件”系列产品,为该机场提供最安全的网络反病毒解决方案。

　　第1层集中控管层,在网络控制中心安装集中控管软件卡巴斯基管理工具,负责监控所属网络中的反病毒产品。同时利用此工具,提供统一且自动的内部镜像站点,集中对卡巴斯基的反病毒数据库和程序组件进行自动更新(或采用后续架设Web站点方升级病毒数据库或程序升级)。

　　第2层是服务器层,部署卡巴斯基反病毒Windows服务器产品,通过卡巴斯基管理工具进行Windows平台反病毒软件集中管理。

　　第3层即客户端,在每个客户端上安装卡巴斯基反病毒Windows工作站产品,通过卡巴斯基管理工具进行Windows平台反病毒软件集中管理,包括统一配置、管理和更新。

　　(1)管理服务器实施部署配置。根据机场网络系统的设计,通过信息中心的FTP服务器,用户访问点击安装链接,安装卡巴斯基桌面反病毒软件。

　　(2)总服务器。在中心选择一台基于NT架构的服务器上安装集中控管软件卡巴斯基管理工具,负责监控所属网中的反病毒产品。在总部NT服务器上部署卡巴斯基反病毒Windows服务器产品,通过卡巴斯基管理工具进行集中管理。这样部署便于管理员及时处理染毒工作站,在最短时间内控制病毒在网络中的扩散。

　　(1)产品的安装:服务器防护终端和客户端防护终端的安装基本一致,通过光盘、WEB方式、脚本、远程、网上邻居等多种安装方式进行安装。

　　(2)注意事项:在安装反病毒软件前,须完全卸载其他反病毒软件和防火墙;如网络中有硬件防火墙设备、服务器端或客户端装有防火墙程序,则必须修改规则开放相关端口。

　　(3)产品的管理:通过总部的管理工具管理所有安装完毕的反病毒系统,可以远程实时监控其状态或修改设置,可以远程直接执行远程客机上的反病毒相关操作;可以集中观测统一日志、统一分发策略、统一定制升级和其他计划等。

　　经过多年的业务发展和市场拓展，目前中国移动通信集团河北有限公司全省实体渠道营业网点总数达16000多个，其中自建实体渠道营业网点达1600多个，合作厅和商实体营业网点达14000多个，营业终端数达23000多个。

　　各地市的自建厅全部通过SDH自有传输经过MDCN上连至省业务支撑中心，但是合作厅和商实体营业厅接入省业务支撑中心的方式复杂多样，经过调研，结果如下：

　　承德、张家口、秦皇岛、廊坊、保定、沧州、邯郸七个地市分公司的合作厅/商厅均通过SDH自有传输经本地市的营业汇聚交换机接入省业务支撑中心；石家庄分公司大部分合作厅/商厅通过SDH自有传输经本地市的营业汇聚交换机接入省业务支撑中心，少部分通过公网SSL VPN方式经本地市的营业汇聚交换机接入省业务支撑中心；唐山分公司部分合作厅/商厅通过SDH自有传输经本地市的营业汇聚交换机接入省业务支撑中心，部分通过公网SSL VPN方式经本地市的营业汇聚交换机接入省业务支撑中心，还有一部分是通过租用其他通信公司企业专网VPN方式接入本地市的营业汇聚交换机再上连至省业务支撑中心；衡水分公司部分合作厅/商厅通过SDH自有传输经本地市的营业汇聚交换机接入省业务支撑中心，部分通过公网SSL VPN方式经本地市的营业汇聚交换机接入省业务支撑中心；邢台分公司少部分合作厅/商厅通过SDH自有传输经本地市的营业汇聚交换机接入省业务支撑中心，大部分通过公网SSL VPN方式经本地市的营业汇聚交换机接入省业务支撑中心。

　　另外，中国移动通信集团河北有限公司近期启动了营业厅瘦终端改造工程，目标是在未来5年内，逐步实现全省营业厅的瘦终端化，瘦终端服务器群在省业务支撑中心集中部署，因此在当前瘦终端尚未完全覆盖全省的情况下，除了上述全省十一个地市分公司的营业网络现状外，又将增加一个瘦终端的接入方式，全省的营业网络接入方式变得更加复杂。

　　从上述现状描述中可以看出，针对不同性质的营业厅，没有进行有效的安全域划分：

　　首先，从网络层面，通过公网SSL VPN和通过租用其他通信公司企业专网VPN这两种方式接入省业务支撑中心的合作厅/商厅在地市汇聚接入时未采用双层异构防火墙安全措施，且所有类型的营业厅均直接接入地市营业汇聚交换机，未对不同性质的营业厅进行安全域隔离，在瘦终端尚未全面覆盖的过渡期，合作厅/厅等所使用的终端、业务访问行为等不能完全受河北移动公司管理，安全方面存在隐患，例如存在商操作员在非商接入域登录的现象，一旦出现安全问题，影响面积较大。

　　其次，为满足中国移动通信集团河北有限公司绿色瘦终端改造工程安全性建设的需要，要求绿色瘦终端营业厅同其他性质的营业厅进行安全隔离。

　　结合中国移动通信集团河北有限公司地市分公司的营业网络现状和未来几年的瘦终端厅部署规划，针对11个地市分公司的营业网络进行基于安全域的场景划分如下：

　　将市公司的营业网络接入域划分为两个安全域，即内部接口子域和合作/子域；并划分出四个场景分别部署不同性质的营业厅，场景一为普通终端自建厅，场景二为瘦终端厅，场景三为具备传输条件的普通终端合作厅/商厅，场景四为不具备传输条件的普通终端合作厅/商厅。

　　自建营业厅，由于营业人员所使用的终端、业务访问行为等能够接受中国移动通信集团河北有限公司的管理，属于内部系统，瘦终端厅（无论是自建厅还是合作/厅）所采用的瘦终端将简化只有键盘、鼠标、显示器和外接打印机、智能卡等设备，在集中部署的服务器端采用远程桌面技术，远程桌面服务作为瘦终端的，执行营业系统的客户端应用，访问业务系统，省公司还可以根据管理需求针对营业厅的性质进行瘦终端的配置，比如自办厅可以额外配置磁盘，而合作/厅不配置磁盘等等，这种性质的营业厅能够规避营业员操作带来的安全漏洞，能够确保营业网络的安全性，因此场景一和场景二部署在市公司内部接口子域。

　　场景三中普通终端的合作厅/商厅因所使用的终端、业务访问行为等则不能完全受中国移动通信集团河北有限公司的管理，属于外部系统，因此场景三部署在市公司的合作/子域。

　　场景四中普通终端的合作厅/商厅因所使用的终端、业务访问行为等则不能完全受中国移动通信集团河北有限公司的管理，属于外部系统，由于场景四是通过公网Internet方式接入至省业务支撑系统，安全风险较厅、合作厅更大，针对此类场景的营业厅需要特殊处理，将其部署在省业务支撑系统互联网接口子域。

　　以上基于地市分公司安全域和省业务支撑系统安全域的四种场景划分如图2所示。

　　市公司内部接口子域和市公司合作/子域中涉及的三个营业场景需要物理上隔离，需要部署统一汇聚接入交换机和路由器，场景三还要在交换机南向接口部署隔离防火墙，且与省业务支撑系统防火墙形成双层异构，如表1所示方案实施前后采取的安全措施。

　　目前中国移动通信集团河北有限公司各地市分公司现有地市营业汇聚交换机为Cisco3750三层交换机，背板带宽32Gbps，内存256M，端口为10/100M自适应以太端口，在现状情况下刚刚能满足需求；通过在石家庄瘦终端体验厅进行测试，每台瘦终端的带宽需求为56KB至300KB，而目前每台普通营业终端带宽约为300KB，因此瘦终端的引入对目前的带宽无影响；另外综合考虑业务远期发展和一些业务可能带来的复杂度提升以及节能降耗、最大化利用投资等因素的影响，地市公司的营业汇聚交换机采用较高性能的中端三层交换机，在交换机上通过划分VLAN来区分隔离场景一、场景二和场景三，达到物理隔离提升安全性目的，场景三在交换机南向接口部署隔离防火墙，要求此防火墙和省业务支撑系统防火墙形成双层异构以保证安全性，另外，四个场景划分后还需要重新划分IP地址。

　　因为MDCN和省业务支撑系统互联网接口子域负责四类场景的接入，为保证业务的顺畅访问，要求MDCN在各地市的接入节点以及省业务支撑系统互联网接口子域接入交换机的各项性能指标不低于营业汇聚交换机的性能指标。

　　省业务支撑系统需要配合进行应用改造，地市公司至省公司的安全策略需要进行调整，各地市公司间互访隔离策略需要部署，以达到路由精简，降低网络节点负荷。

　　电力系统是由发电、输电、变电、配电、用电设备及相应的辅助系统组成的电能生产、输送、分配、使用的统一整体。由输电、变电、配电设备及相应的辅助系统组成的联系发电与用电的统一整体称为电力网。

　　电力工业是国民经济发展中最重要的基础能源产业，是关系国计民生的基础产业。电力行业对促进国民经济的发展和社会进步起到重要作用，与社会经济和社会发展有着十分密切的关系，它不仅是关系国家经济安全的战略大问题，而且与人们的日常生活、社会稳定密切相关。随着我国经济的发展，对电的需求量不断扩大，电力销售市场的扩大又刺激了整个电力生产的发展。

　　电力行业IT系统按照“SG186”体系部署，整体化分为一体化企业级平台、业务应用系统和六个保障系统，形成“纵向贯通、横向集成”的庞大信息网络。业务应用分为建设财务（资金）管理、营销管理、安全生产管理、协同办公管理、人力资源管理、物资管理、项目管理、综合管理等。六个保障体系为信息化安全防护体系、标准规范体系、管理调控体系、评价考核体系、技术研究体系和人才队伍体系。

　　（一）电力网络行为与内容的安全情况。电力网络行为与内容的安全主要是指建立在行为可信性、有效性、完整性和对电力资源管理与控制行为方面，面对的威胁应当属于是战略性质的，即电力系统威胁不仅要考虑一般的信息犯罪问题，更主要是要考虑敌对势力与恐怖组织对电力相关信息、通信与调度的攻击，甚至要考虑战争与灾害的威胁。

　　（二）电力网络系统安全情况。对于电力行业主要考虑以下系统：各类发电企业、输电网、配电网、电力调度系统、电力通信系统（微波、电力载波、有线、电力线含光纤）、电力信息系统等。这里主要考虑到电力调度数据网（SPDNET）、电力通信网与电力信息网几个方面的安全问题。电力系统的安全建设以资源可用和资源控制的安全为中心，必须保障电力系统畅通的24小时服务。

　　目前，大多数规模较大的发电企业和很多省市的电力公司在网络安全建设方面已经做了很多工作，通过防火墙、入侵检测系统、VPN设备等关键的安全产品的部署和实施已经初步地建立起了基础性的网络安全防护系统，并取得一定的效果，应当说是有自主特色的。

　　（三）电力信息内网安全防护体系。电力信息内网属于电力网络的管理信息大区中，信息内网定位为内部业务应用系统承载网络和内部办公网络，部署了大量的应用服务器和数据库服务器、以及不需要外联的办公主机。

　　电力信息内网对外连接包括：通过公用信息网与上下级电力公司的信息内网相连接；通过VPN连接互联网，以保障移动办公终端的接入；通过逻辑强隔离设备与信息外网相连接；通过正/反向隔离装置与生产控制大区相连。电力信息内网部署有以下安全防护手段：

　　防火墙系统。信息内网内部不同安全区域之间部署防火墙，增强区域隔离和访问控制力度，严格防范越权访问、病毒扩散等内部威胁；

　　信息内网出口处部署防火墙系统，实现网络边界防护，同时保护Web服务器域；

　　VPN系统。信息内网出口处部署VPN系统，为移动办公、营销系统远程访问等提供接入防护，客户端应当采取硬件证书的方式进行接入认证；

　　入侵检测系统。信息内网核心交换机和重要网段部署入侵检测系统，实现对网络流量的动态监视、记录和管理、对异常事件进行告警等；

　　日志审计系统。信息内网部署一套日志审计系统，采用分级部署方式，实现全省信息内网安全事件的集中收集和审计问题；

　　主机管理系统。电力信息内网统一部署主机管理系统，实现主机设备的统一管理和防护；防病毒系统。电力公司信息内网部署一套防病毒系统，采用分级部署方式，控管中心设在电力公司本部，地市供电公司分别安装二级控管中心和防病毒服务器，接收控管中心的统一管理。安全管理分区。电力信息内网依据业务系统保护等级，分为生产控制区（Ⅰ、Ⅱ区）、管理信息区（Ⅲ区）和外部信息网，各分区进行相应等级的安全防护。

　　病毒检测扫描类技术的防御弱点。从病毒到恶意代码（木马、蠕虫、病毒、恶意脚本、Shellcode、流氓间谍软件），无论是种类还是数量都是海量增长，来自海量恶意代码的海量攻击使得基于以字符串CRC效验、散列函数值等特征码检测为主；采用加密变形的启发式算法、仿真技术检测为辅的病毒检测技术已无法有效检测每天如潮水般增长的恶意代码。以超级病毒特征库、超级白名单库、超级恶意URL库、自动化分析流程为主要特点的云安全技术在一定程度上改善互联网用户安全的同时，存在分析时延、病毒特征库更新时延、恶意URL搜索时间间隔等问题，同时海量提交的文件带来的极大分析压力使得分析失误的概率大大增加，从而给用户带来极大的风险，对于物理隔离的专网、内网也无法使用云安全技术。该类产品的最大弱点是对未知恶意代码缺乏有效的监控和辨识能力。入侵检测防御类技术的防御弱点。入侵检测技术经过多年发展，IDS、IPS、UTM、应用防火墙、防毒墙等产品能应对大部分已知攻击，对网络安全起到了非常大的作用，但也存在辨识技术上的防御弱点。以基于规则描述的特征组合检查为主，协议异常检测、统计异常检测为辅的入侵检测引擎无法有效识别隐藏在合法应用流量中的攻击流量、基于未知漏洞的攻击流量、加密变形的攻击流量，更无法截断潜伏在这些流量中的有经验黑客的深度攻击。

　　由IDS（监控报警子系统）+安全工程师（辨识和决策）+防火墙（处理子系统）构成的防御系统，严重依赖安全工程师的经验和分析水平。对未知攻击流量和隐藏在应用流量中的恶意流量缺乏辨识能力，使得试图在网络层完全阻挡入侵攻击、恶意代码的传播是不现实的。其它非防御类安全产品的弱点。加密技术类安全产品可以解决泄密问题，却无法阻御攻击者和恶意代码对加密信息的破坏。行为管理类安全产品能管理用户的行为，却无法阻挡有意者的恶意攻击行为，对恶意代码和黑客攻击的后台行为，更无法察觉和控制。身份认证类安全产品能解决身份可信问题，却无法保证合法者伪造的恶意攻击和对恶意代码的渗透和传播。防火墙类产品的访问控制能力更适合作为处理控制手段，而不是攻击和恶意代码的识别工具，更无法解除流量中的威胁，桌面级的防火墙更是带来网络管理上的不方便。漏洞扫描类安全产品能发现存在的漏洞风险，却没有防御攻击的手段。主机安全产品，偏重于主机使用者的行为控制，它本身不能防御恶意代码的攻击和破坏。以上安全类产品由于解决的主要问题是在安全的其它方面，从防御组成来看，本身缺乏防御能力，更需要安全防御系统来保护这类安全资产。

　　当前由防火墙、入侵检测系统、杀毒软件组成的防御体系已经不能阻挡每天如潮水般增长的恶意代码，其技术壁垒也逐渐显露，其被动性的原因主要有以下几点：1.恶意样本和攻击的海量增长。据国内安全厂商江民科技对近年来恶意代码数量的统计，2011年上半年全年共增加病毒特征代码48万余条。

　　2.对抗传统防御体系的特征码免杀技术、网络攻击逃避技术近年来不断持续发展和传播。攻击方由以前那种单一作战已经逐渐演变为一个集团利益团体甚至国家利益的团体，在经济、政治利益的驱使下，免杀、逃逸技术发展迅速。3.对攻击和威胁的识别能力不足，对未知攻击和威胁无法识别。要防御攻击带来的威胁，首先要解决对攻击和威胁的识别，传统的特征码识别技术对未知的攻击和威胁无法识别。4.同质化技术构成的防御体系容易导致技术一点被破、全局皆破。随着电力系统在信息化建设方面的不断加大，信息安全问题也逐渐凸显，病毒、蠕虫、木马等恶意代码在网络中肆意传播，严重威胁着电力系统的正常运行。而现有的防御体系则主要以协议过滤、特征签名包和特征码比对技术为主构建的传统的防御体系，能够有效的防御已知的恶意代码攻击（已有的特征签名包和特征码），但对于多变的未知的恶意代码攻击却显得无能为力。因此，需要一种技术能够实时有效的防止未知的恶意代码攻击，从而提升整个网络的安全防御体系。传统的防御手段所采用的技术是导致其被动性的根源，面对当下如此严峻的安全形势，亟需构建一个实时主动的网络防御体系。

　　在网络信息对抗中，一个完善防御系统的防御链必须由监控、辨识决策、处理三大子系统。防御系统的抗攻击、反入侵能力高低取决于监控能力强弱、辨识决策是否足够智慧、处理子系统是否完善有效、三个子系统的自动化联动程度四个方面，其中最核心的是辨识决策技术。

　　目前的安全产品，能有效构建防御系统主要是以病毒检测扫描类技术和入侵检测防御类技术为主，但这两类技术都存在防御弱点。

　　在构建主动防御体系之前，不防先回顾一下防御系统产生的原因：有了信任与欺骗的斗争，于是便产生了可信任体系；出现了攻与防的斗争，也就有了防御体系。那如何构建一个防御体系，不防借鉴历史战争，其无非分为三种：事前防御、事中防御和事后防御。

　　从图中可以看出，防御体系的强弱取决于攻击事件正在进行时防御系统的防御能力，也就是事中防御。而从传统的防御体系可以看出，无论是漏洞检测技术、网络准入技术、特征码扫描技术都偏向于事前防御，在事中实时防御上，特别是事中主机防御上存在严重不足。因此，要提升整体网络的防御能力，必须加入主机事中防御的技术。

　　在主机层面要做到事中防御，必须摒弃传统的特征码比对技术，做到“敌动我动”的实时防御。经过业界专家的研究，提出了基于行为检测的主动防御技术。即不依赖于程序的特征，而是根据程序所表现出来的行为来预先判断其合法性。这在理论上是可行的。给出主动防御的概念：在监控、分析、侦测等环节中采用主动感知未知威胁行为识别、行为智能处理、行为防御加固等主动性技术来进行防御。

　　恶意代码一般的行为包括注册表操作、文件操作、进程的行为和网络行为等；在windows操作系统上，可执行文件基本上都是通过API的调用来执行，以上任何行为都要通过导出函数或者系统调用接口[3]。可通过对恶意代码行为进行搜集和数据挖掘，建立如下的行为算法模型：

　　5.“参数取值特征”表示对应的函数调用行为表现出恶意性时的参数的具体取值。

　　若“参数取值特征值”为“NULL”与“参数0”配合使用，表示不需要分析对应的实参。

　　主机层面的防御又可分为六个方面：内核子系统、服务子系统、应用子系统、通信子系统、文件及资源子系统、账号及认证子系统。每个子系统又按照P2DR（Policy、Protection、Detection and Response）模型组成一个完整的、动态的安全威胁相应循环[4]。任何攻击无非是攻击操作系统以上的单个或者多个方面，因此通过对六大子系统实时监控，最终达到对主机威胁行为识别。识别技术是辨识和处理的前提。

　　操作系统向外提供丰富的系统API接口，方便上层应用程序对系统资源的访问，开发各类功能软件，程序行为指程序或代码对操作系统资源如文件系统、注册表、内存、内核、网络、服务、进程等的访问操作。恶意代码行为特点：非授权性和破坏性，主要表现为恶意代码对系统资源的非授权访问或篡改，如信息窃取、建立后门、实施破坏等行为。了解程序行为和恶意代码的行为后，通过对恶意代码的行为分析，并将恶意代码必经的攻击点进行记录和分类，丰富到行为库中，形成一套行为算法库，通过行为算法库来判别程序的合法性。其他子系统的行为引擎，也可建立相应的模型。识别技术是关键。

　　在判断程序的危害性后，可通过取得操作系统底层权限，对恶意代码进行处理，对无法及时处理的可通过隔离，重启后删除。采用系统级主动防御技术，在异常监控技术上将监控范围扩大到操作系统上的六大子系统，包括内核系统、应用系统、通讯系统、文件及资源系统、账号及权限系统，采用分布式监控技术实现对全系统的监控。在辨识决策技术上是以程序行为算法库分析判定、智能专家系统、程序可信性计算等技术为基础，采用动态行为跟踪技术，依据恶意程序行为特征算法库，判定程序的性质和逻辑，预先判断程序的危害行为和风险，实现对恶意代码和恶意行为的自主识别、判断。在管理上平台可设计灵活的组网方式，实现多级连接、分权管理，也可通过同入侵检测系统IDS、访问控制中心等联动，获得全网安全态势，预警和应急处理全网安全事件，组成主动防御控制中心。

　　当前日益严峻的安全形势下，恶意代码泛滥，针对传统的防御方式已形成了一条集生产木马、销售、传播等一体的黑色产业链，其利益集团也由个体利益、团体经济利益逐渐演变成政治利益，甚至于国家之间的利益。因此，在防御手段上必须不断的推陈出新，建立基于差异化的防御技术平台，才能有效的防范已知的和未知的恶意代码攻击。

　　基于行为分析的主动防御技术的实现，弥补了传统的防御方式无法查杀未知恶意代码的弊端，提升了整个网络安全的防御体系，使原被动滞后的防御体系成得实时主动，是未来主机防御技术的方向。主机主动防御技术采用程序行为分析技术，能主动防御病毒、木马、间谍软件、恶意脚本的攻击及入侵，特别是对未知、新型、变种、加密、加壳等恶意代码的防御效果显著，其应用，将在智能电力网络受信息安全威胁的电力行业带来了一场革命。

　　[2]B51.628-2009.成都中科慧创科技有限公司.网络体系式主动防御系统[S].

　　[3]陈培,高维.恶意代码行为获取的研究与实现[D].计算机科学,2009,1-3

　　所谓的企业网络管理指的是利用资源的调度和协调整个企业网络系统设计和规划、运行监控、管理控制和故障诊断，从而保护企业网络系统和稳定运行，优化网络环境，网络安全，以保证正常的企业工作安全、稳定、有效运行。

　　中小企业特是指一种员工相对较少，业务的规模也较小的企业。 同时网络布局和管理在中小企业更加灵活，但由于没有雄厚的资金投入、及有限的技术人员等原因，以至于一些企业至今一直未能实施合理有效的网络管理。即使一些企业已有了一定程度网络管理，但是对于网络管理重视程度不够，关键技术细节理解不完整，造成网络管理还存在许多不足。

　　经过对90%以上的中小型企业网络管理的数据分析，中小型企业网络问题的根源主要集中在以下几个方面：

　　企业高层管理人员对于发展生产技术和扩大企业经营规模的兴趣，远远大于对于网络管理的学习和安全方面的重视，安全意识薄弱。对于企业网络安全的投资较少、有关管理领域较为宽松，无法满足现代网络信息安全的基本要求。另外中小企业对网络的稳定性和网络安全存在侥幸心理，对于网络安全没有充分积极的认识，一旦出现问题，更不会积极应对，这就导致一旦出现安全问题不但不会去解决，更会任由问题扩大。

　　中小企业由于专项资金不足，这也成为网络管理经验技术力量薄弱的的主要原因。路由器、交换机、服务器等网络设备、及软件系统在中小企业一般没有相关的管理策略。对于由其生产商或集成商发出的用来修补或升级软件系统信息没有有效的处理方式。对于服务器和其他重要数据不配备备份或数据加密，冗余措施。这些无法更新的系统和缺乏配置的硬件设备让恶意人员有机可乘，对病毒、木马或恶意程序的更是毫无抵抗，企业网络的可能性，存在着严重的安全隐患。通信设计与应用。

　　在大多数中小型企业缺乏网络管理解决方案情况下，他们的安全意识大都建立在防火墙、防病毒软件及加密技术升级上，进而让自己的心理更加依赖。大家都知道，对于企业网络管理，简单的解决方案并不能完全保证企业网络安全性，随着信息技术的发展，网络的更新换代极快，网络安全这个问题远远不是单一的杀毒软件和防火墙就可以解决的，也不是很多标准的安全产品可以处理的。这些问题需要一个综合且全面的技术解决方案，而这个方案很大程度依赖专业的网络管理。

　　企业想获得健康，稳定，快速的发展，规范网络管理经营行为，提高员工的网络安全意识势在必行。详细的解决方案措施：

　　（1）可分为虚拟VLAN网络段，应用数据控制和管理控制，将公司的主营业务和非主营业务分开有效管理或者将公司各个部门、小组按照业务不同分开管理。

　　（2）对于企业员工应用固定IP设置或者使用DCHP动态分配IP地址，与此同时进行MAC地址绑定，启动防网络风暴管理制度，强化互联网的网络安全。这样操作一方面便于监视与维护，另一方面减少了网络中毒，网络瘫痪等问题出现的可能性。

　　对于企业来说，最典型的网络安全问题是数据的丢失、损坏与泄漏，数据的安全问题，以及网络安全协议的问题。提高整体网络安全意识，重要数据定期备份是网络管理中对信息进行有效处理的必要手段。

　　（1）为了解决数据安全的问题，需要进行业务关键数据进行远程备份，以防止数据因为木马、病毒、及人为原因导致数据安全问题。

　　（2）对于服务器、路由器、交换机等突然损坏的硬件问题，重要的是要进行设备冗余设置。网络的关键设备设置一用一备的组网方式。

　　（3）对于软件系统的问题，则需要检查系统的编码，严格编码标准，从而消除系统本身的问题。

　　（4）基于网络的安全协议问题，需要专用网络执行加密操作，以防止恶意黑客攻击。

　　在当前的网络信息如此开放的大环境中，任何网络都不是百分之百保证安全的，所以一套完整有效的网络技术应对方案对于网络管理尤为重要。网络技术应对方案一方面是指应对网络安全方面的技术方案，一方面是应对网络故障方面的技术方案。因此，企业需要结合自己本身的实际情况，制定完善的应对措施及方案。

　　（1）制定一个完整的防火墙和防护软件的升级规则，及时更新系统补丁，避免网络安全漏洞。

　　（3）对于发生的故障及安全事故要及时备案，分析，避免类似的情况再次发生。

　　随着网络信息技术的迅猛发展，信息容量在这个开放的环境中不断增长，网络规模也将随之增加，越来越多的企业的管理者们开始认识到网络管理的重要性，并且在企业资金的投入上有了一定的倾斜。信息化程度的高低已经成为衡量一个企业是否是现代化企业的重要标准。从在整个国民经济中有着非常重要地位的中小企业来看，一个高效、稳定、安全的网络是确保其健康发展的命脉之一。网络管理在中小企业的原材料采购、产品营销、客户关系等等方面也起着底层建筑的基础。目前很多企业在网络管理方面还有很大的完善空间，还有很多工作需要踏踏实实的去完成。

　　瞻博公司首席执行官办公室执行副总裁兼总经理Kim Perdikou表示:“移动性不是一种架构,而是一种生活方式。移动运营商需要能够真正创新的网络解决方案。因为只有创新才能帮助运营商缓解来自网络构建成本方面的压力,为他们提供真正满足未来需求的开放型网络平台。移动宽带是不可阻挡的趋势,运营商如何利用值得大家关注。瞻博提供了一种独特的移动互联方法,我们选择了在合适的时间和恰当的网络部位,解决了核心网络的流量拥堵问题。瞻博不仅为移动运营商提供了向4G技术演进的快捷之路,而且带来了保持收益不断增长所需要的扩展性和安全性。”

　　这是由瞻博公司和第三方合作伙伴共同基于Junos软件平台开发的应用产品系列。此应用适用于移动视频传输、定址广告、业务监控以及个性化服务交付等。经过优化后的Junos Ready软件能够为用户提供丰富的体验,并加快产品上市速度。

　　作为新型移动安全软件,Junos Pulse可广泛应用于各种移动设备中。它是业内首款可下载的客户端软件,可以让智能电话、笔记本电脑和上网本等多种移动设备,安全地接入企业应用。此外,Junos Pulse采用了SSL VPN技术,可在集成客户端上为移动服务提供稳定的安全保障,进而支持移动运营商开展新的业务模式。

　　瞻博移动安全解决方案整合了高效的SRX系列业务网关及Junos Pulse客户端软件,能够为移动用户带来高级别的安全体验。此外,它还可以帮助运营商优化投资,并提供稳定的服务支持。

　　智能电话、上网本和笔记本电脑的大量应用使得移动数据流量激增,这将影响到用户的使用体验,而瞻博流量管理解决方案正可帮助用户解决这些问题。瞻博流量管理解决方案将MX 3D系列边界路由器与智能应用策略相结合,实现移动数据流的优化。升级后的MX 3D系列可将批量数据流直接卸载至互联网中,从而帮助用户实现更好的移动宽带应用体验。流量管理解决方案有利于服务提供商缓解网络拥塞,最小化网络流量对其移动网络基础架构的影响。

　　媒体流解决方案包括瞻博VXA系列(内容交付引擎)以及能够让单一引擎支持高达10Gbps视频流的Ankeena 软件,提供顺畅的自适应位流传输。此方案能够提供高效的视频信息传输及丰富的多媒体内容体验,并能够在智能手机等移动终端设备上提供流畅的观赏体验。流量管理解决方案与媒体流解决方案的结合可将运营商的网络负载成本降低70%。

　　目前，物联网、云计算和移动互联网衍生出的复杂安全问题，让国家、政府、企业、个人陷入了比以往任何时候更为严重的网络威胁包围圈。对此，中国电子信息产业发展研究院副院长卢山认为，我国信息安全企业所要做的不仅是赶上国际领先企业，实现技术发展的同步，还要认清形势、积极调整技术发展的方向，谋划中国信息安全产业自主可控的实现路径。同时，IT企业之间也应该增强协作，通过构建安全生态系统为技术创新给养，以促进产业走上良性发展轨道。

　　国家网络信息安全技术研究所所长杜跃进认为，当前我国互联网安全领域的制度建设比较薄弱，行业研究的商业转化程度也相对较低，走出国门的中国的互联网安全企业数量还远远不足。作为一个拥有庞大互联网产业潜在市场的国家，中国对互联网安全的重视将是产业蓬勃发展的基础，中国的信息安全企业应该抓住机遇、注重创新，积极走上国际舞台。

　　来自企业技术专家代表福禄克网络公司中国区业务发展经理Andy Li认为，目前大型企业机构在全国各地的分支机构众多，业务量巨大且网络结构复杂，每分钟都会发生大量并发业务操作，产生海量网络数据。他们主要面临着三个挑战：安全监控与性能优化并重、无线与有线网络兼顾、在故障现场快速解决问题，尽管不少网络监控解决方案都可以掌握分布于各地的分支机构网络情况，但很多时候，想要快速解决问题，还需要总部与故障现场的技术人员通力合作。

　　伴随着大数据时代的到来，企业的生产网络日益复杂且业务对于网络的依存度日益增加，某些行业，如用户对生产及办公环境的网络安全又有极高要求。对于这样的客户，日常的网络安全风险监控及主动的故障的排除就显得尤为重要。福禄克网络为此推出了将监控网络安全与保障网络应用性能相结合的企业级信息安全解决方案。

　　解决方案具有诸多优势，像可以同时兼顾有线和无线网络，并对它们进行统一的管理和监控，不仅可以有效地避免安全漏洞、防止信息泄露、阻止黑客攻击，还有可以为优化网络性能提供帮助；整体监控与现场检测的点面结合，使得解决方案具备了全面、快速解决网络问题的能力。同时，部署简单且可扩展性好，易用性、灵活性具佳；软件与硬件结合，使得解决方案以较低的部署成本获得理想的投资回报。解决方案的功能特色在于7×24小时实时监护无线、有线网络，并对有线和无线的非法设备抑制，快速、精准地对非法设备进行检测、分类与定位，而对异常流量实现监控、端口攻击检测、敏感信息泄露追踪，上网行为管控、内外网访问管理，以及非法网站访问记录与回放、无线攻击检测与多种通知告警功能、安全事件取证、现场安全攻击检测，智能专家系统指导用户解决复杂的安全问题。

　　解决方案将应用的网络划分为四个大区，即网管监控区、数据中心、无线办公接入区和有线办公接入区，如图所示。

　　网管监控区 网络运维人员将在此区域中通过Network Time Machine（简称为NTM）和AirMagnet Enterprise（简称为AME）控制台来管理和操作NTM和AME探针，了解网络运行状态，获取问题告警信息并下发防御策略。

　　数据中心 将NTM部署在数据中心或客户网络的关键位置，如果存在对数据中心中应用的非法访问行为和黑客攻击行为，NTM将会实时检测到并向控制台发出警告，运维人员可以快速地远程定位该问题。同时NTM还可以最大10G的速率无丢包的记录对关键应用的全部访问，以便运维人员日后调用、分析和取证。

　　北京大学第一医院（以下简称北大医院）是一所融医疗、教学、科研、预防为一体的大型综合性三级甲等医院。“北大医院一直在大力推进医疗信息化工作，陆续完成了HIS、LIS、PACS等业务系统的信息化改造。”北大医院信息中心副主任周国鹏举例说，“我们每日的门诊量已从过去的六七千人次增长到现在的一万人次。如何才能利用先进的信息技术提高医护效率、促进教学以及改善与病人的沟通是摆在我们面前的一个重大挑战。”

　　北大医院最终选择了华为的系列网络产品和智慧数字医院解决方案，构建了一个全面覆盖和安全可控的无线网络，实现了包括移动查房、移动病历、移动PACS、手术直播等在内的诸多移动医疗应用。“我们的医护人员利用移动终端，可以查询病人病历，给病人做详细讲解。”周国鹏表示，“移动医疗减少了医护人员的走动，提高了工作效率，有效降低了医疗差错率。”

　　在构建数字医院的过程中，华为推出了以“智慧、敏捷、安全”为核心的智慧数字医院解决方案，并已在许多医院中得到了广泛部署。北大医院就是华为智慧数字医院方案在移动医疗领域的成功实践。

　　华为企业网络产品线解决方案总经理刘立柱将数字医院对网络的需求归纳为以下几点：第一，网络要随时随地可用；第二，网络要保证各类终端能够快速、安全地接入，实现主动性医疗服务；第三，避免网络孤岛，无线网络要与医院整个网络互联互通，实现无线网络与有线网络的整合；第四，网络要为大数据分析提供便利。

　　为了全面满足数字医院的信息化建设需求，华为提出了“敏捷数字医院”解决方案。“智慧的大脑、敏捷的肢体和安全的免疫系统，共同组成了敏捷数字医院解决方案。”刘立柱将敏捷数字医院解决方案比喻成一个人，“敏捷数字医院解决方案可以帮助医院实现业务的敏捷化，同时保障医院网络的全面安全。”

　　具体来看，“智慧的大脑”的核心是一个园区业务控制器，它可以全面感知应用的接入，特别是无线网络应用，比如应用从哪里来，用户是谁，采用的是什么样的接入设备，接入的时间和地点等信息；“敏捷的肢体”指的是高性能、高可靠和有线无线深度融合的网络设备，在这个层面，华为创新的硬件集群技术可以为医院提供高可靠的网络方案，其专业的网优网规能力帮助医院实现了无线信号的全面覆盖，移动业务随行，而华为第三代随板AC实现了有线无线的深度融合，保证医院整体业务互联互通；“安全的免疫系统”指的是通过华为端到端安全解决方案，实现终端、网络传输、应用的安全管控，保证企业和个人的数据安全隔离。

　　我们在去年看到众多端点安全产品进入市场，它们试图消除企业网络面临的非常严重的威胁。那么企业的IT管理人员该如何评估这种产品呢？本文就提供了一份路线图，并且介绍了对所有产品进行筛选的方法。以下是你在购买端点解决方案之前先要弄清楚的六个问题。

　　端点安全对不同的人来说意味着不同意思。为了便于讨论，我们概述了端点解决方案应当包括的五个要素。你的需求可能有所不同，也许现在想实施其中一两个部分，打算将来时机成熟时再升级到其余几个部分。

　　策略定义: 你应当能够为不同的用户群、位置和机器群设定及维护各种安全策略，而且能够轻松修改。

　　用户检测: 不管你的用户是在本地总部还是从远地连接到企业网络，你的系统都应当能够检测到他们。这包括每个客户端上使用或者无的操作。

　　健康评估：你的最终系统应当能够扫描端点、确定符合策略的状况。理想情况下，应当在访问网络之前进行扫描，不过你的系统也应当允许登录之后进行其他检查。

　　策略执行：你的策略确定了应当保护哪些网络资源，包括交换机、虚拟专用网（VPN）和服务器等等。视策略而定，你应当能够隔离资源或者完全拒绝访问网络。

　　采取补救：如果客户端不符合策略，接下来会怎样？理想的系统会启动反病毒特征更新、给操作系统打上补丁，或者采取其他措施。记住：目的在于让每个人最终都能安全地连接到网络上。这恐怕是大多数IT管理人员希望最先看到实施的方面，却也是大多数解决方案最薄弱的方面。问题在于，补救起来很棘手，而且需要依赖许多单个的软件和硬件正常工作。

　　目前正在开发中的有三种总体架构方法：微软的网络访问保护（NAP）、思科的网络准入控制（NAC）以及可信计算组织的可信网络连接（TNC）。

　　思科的NAC是三者当中离实际实施最接近的。它的工作方式是通过把模块实施到面向Windows客户端和Linux客户端的交换机及路由器中，从而控制对网络层的访问。你需要混合搭配几家厂商的产品才能涵盖上述五个部分，因为思科并不提供一切。思科架构的强项在于执行和检测，补救是它的弱项。

　　TNC一开始是这种概念：使用Radius和802.1x等开放标准对特定的网络客户端进行验证，那样它们不会被任何一家厂商的产品线或者客户端操作系统所束缚。TNC专注于提供能够协同工作的解决方案，所以难怪其强项在于策略定义，弱项在于健康评估。

　　NAP还没有真正实施到微软的任何产品中，第一个应用实例将是预计今年晚些时候问世的Longhorn服务器。该架构的强项在于补救，弱项在于执行，对另外两种架构起到了很好的补充作用。最初，NAP会单单支持Windows XP和Vista客户端，把其他市场让给另外两种架构。

　　不是每个端点解决方案都能够有效地提供五个方面，大多数的强项在于健康评估或者策略执行等一、两个方面，在其他方面比较弱。认真阅读说明书，确定你最初关注的重心。

　　下一步就是了解你现有的安全产品组合是什么，端点解决方案在什么地方会适合你现有的系统。你可能不想换掉任何旧设备，或者不想购买功能与现有设备重复的端点产品，这取决于你何时购买了防火墙、入侵预防设备和验证服务器。

　　有些产品（如Vernier）自身随带入侵检测和预防系统或者虚拟专用网络网关，这些是端点安全解决方案的必要部分；而另一些产品（如Lockdown Networks）可与现有的IPS、IDS和VPN产品协同工作。如果你准备选购这些产品，这可能是好消息，但要认识到：你的端点安全只能保护远程用户在使用的机器，却不能扫描任何本地网络用户的机器。为了同时保护本地用户和远程用户，你需要实施802.1x验证之类的机制。

　　思科的NAC假定你使用的所有思科产品都是最新版本：如果不是，那么就要考虑其他架构，除非你希望花钱进行全面升级。如果你花了大笔钱购买了思科以外的其他厂商的网络交换机和路由器，那么支持另外两种架构的产品更有意义。

　　如果你没有VPN，或者正在考虑实施VPN，那么Juniper和F5（其次是思科和Aventail）提供的SSL VPN具有相当可靠的端点健康扫描功能。至于已经有企业IPsec VPN的用户，比较适合实施端点安全解决方案，假定你在所有的本地机器上也能够运行这些安全IPsec协议。大多数端点产品支持这种方法。

　　如果你已经有了切实可行的VPN而现在又不想改动，不妨考虑自身随带802.1x验证服务的产品解决方案，譬如赛门铁克或者Infoexpress的方案。你需要加强验证机制，以便处理下面提到的端点健康评估工具。

　　如果你需要升级交换机，Nevis和Consentry都提供各自集成了端点安全功能的48端换机。

　　接下来要确定你想把端点安全设备放在网络上的哪个部位，想保护企业计算资源的哪些部分。显然，网络上所要保护的部分越多，项目成本就会变得越高。有些设备应直接放在企业防火墙后面，保护整个网络。另一些设备放在分布交换机后面或者关键服务器前面比较好，或者部署用来保护某些子网或者部门级网络。

　　TNC架构似乎是三者当中最灵活的，适用于最广泛的部署及保护场景。NAP旨在保护微软服务器，而NAC是为思科网络交换机和路由器设计的。

　　有些设备（如Vernier、Consentry和Nevis Networks）采用嵌入式工作方式，这意味着位于这种设备后面的任何网络资源都会得到保护；只有健康的网络客户机才能通过进而访问这些资源。另一些设备（如Mirage、Forescout和AEP Networks）采用带外工作方式，通常经由网络跨接端口连接起来，监控某个子网上的所有网络流量；一旦用户通过活动目录或者VPN登录成功通过验证，它们就会把自己嵌入到网络数据流中。想知道把这些设备放在何处，就要知道每个设备能够处理通过它的相对吞吐量。有些解决方案比较有限，无法处理较大网络的较高吞吐量。

　　对于吞吐量需求较高的大型网络，不妨考虑Juniper的端点解决方案，它适用于75 Mbps到30 GBps的多种吞吐量。

　　如果无法确定使用嵌入式还是带外式，那么StillSecure和赛门铁克提供的产品能够与这两种方式兼容。

　　下一个问题是你将如何管理及部署桌面系统上的保护软件。如果访问企业网络的员工比例较高（譬如说10%以上），合作伙伴或者承包商使用自己的计算机，或者远程员工不来总部办公室上班，那么你无法轻松接触外面的这些PC。如果你分发软件更新版，牢牢控制桌面PC，就能够更轻松地安装软件，进行健康评估，采取纠正措施。

　　按需，只有PC连接到网络时才存在，通常通过浏览器会话或者网络登录过程的一部分来提供。

　　问题在于，使用哪一种软件来处理实际工作，要看具体是哪一种浏览器版本和操作系统。有些需要初始的管理员权限才能安装到端点上。虽然大多数产品支持Firefox和IE浏览器版本，但也有一些例外，如果你使用的不是Windows操作系统更是如此。

　　微软的NAP在这方面的功能最弱，如果你仍在运行Windows XP之前的版本，功能将更弱。微软已承诺为Windows XP SP2和Vista推出支持其网络访问保护系统的。如果你使用的Windows版本比较旧，就要寻求第三方供应商。NAC和TNC都旨在更广泛地支持Windows、Mac和Linux等端点操作系统客户端。

　　有些厂商提供多个，不过有不同的功能及对操作系统的支持。譬如说，Nevis Networks为Windows提供的Active X控件可以执行健康评估。对于非Windows客户机，Nevis只能使用无连接，进行最基本的身份控制。

　　Lockdown和Mirage Networks更进了一步：两家公司都把端点放在了各自的专用虚拟局域网（VLAN）上，因而能够确保有风险的设备与其他设备隔离开来。

　　想弄清楚使用哪种，一方面要知道你的网络上还有什么，需要管理什么。“胖”无法管理企业网络上运行自身操作系统的非PC设备，譬如打印服务器、网络摄像机和PDA等。这些设备大多有IP地址，运行各自的操作系统，不容易由端点设备来管理。

　　处理非PC端点的最合适的架构就是TNC方案，它能够兼容类别最广泛的设备。NAC会在网络层实施支持非PC端点的功能；至于微软的NAP，你需要指定策略才能处理这些设备。

　　大多数厂商提供这种功能：把MAC或者IP地址加入白名单或者对它们进行预验证，那样它们仍可以连接到网络上完成任务。不过，把这些设备加入白名单只是临时解决方案，因为其中一些设备一旦被感染，安全就会受到危及，进而对网络造成危害。Forescout和Mirage Networks都能检测到来自这些专门设备的流量模式出现的变化，并且能够隔离设备。

　　你网络上的非PC端点数量可能比你想像的多得多，可能无法轻易把它们隔离到单一VLAN或者网段。要进行认真的现场勘查，确定这些端点与任何计划中的解决方案有着怎样的关系。

　　众所周知，任何端点解决方案都会影响到众多计算设备：客户机、服务器、网络交换机和连接基础设施以及网络上的应用软件。为了把这一切结合起来，你需要作出决定：存放端点策略的集中存储库放在何处；在整个网络上如何管理、改变及执行存储库。这可能是集中存放用户和验证数据的同一个物理场地，也有可能是全新的安全设备。

　　TNC倾向于使用802.1x验证协议作为存储库，不过这是其架构的可选部分，而不是必需要求。NAC比NAP更注重执行功能，至少目前是这样。

　　最自然的起步就是使用微软的活动目录作为这样一个策略存储库；而且，微软的NAP确实是为这种目的而设计的，最终会在今年晚些时候添加Longhorn服务器及另外几个产品。不过改造你自己的活动目录可能会很困难或者不可能，这看你是如何进行设置的。

　　另一个解决办法就是使用第三方厂商来完成这项任务，譬如Lockdown、Trusted Network Technologies或者Consentry，不过这可能需要时间来学会如何部署这些解决方案和进行合理配置。

　　秋风初起，一年一度的中国国际金融（银行）技术暨设备展览会在京如期召开，与往年的展会主题不同，今年金融展的内容紧紧围绕“数据大集中后的安全与应用”全面展开。在众多国内外参展企业当中，国内领先的网络设备及解决方案提供商——锐捷网络（原实达网络）展示了其全线网络产品及针对金融行业的解决方案和应用案例，同时率先推出了基于“SAFER”网络架构的全新金融网络安全概念——“应用得心应手，安全无处不在”，不仅无缝契合了本次金融展的核心主题，还吸引了众多来自银行、保险、证券等不同金融领域参观者的关注。

　　“SAFER”是2002年金融展当中锐捷网络提出的金融网络解决方案，以独特的架构体系全面满足新一代金融网络对安全(Security)、适用(Application-based)、可扩展(Flexibility)、易用(Easy to use)、可靠(Reliability)等特性的要求。本届金融展，围绕未来“大集中后的安全”核心，“SAFER”被赋予了全新的内涵，对此锐捷网络的诠释是：新“SAFER”架构进一步深入考虑了现在和未来金融用户对安全性能的需求，在原有“SAFER”架构的基础上赋予了全方位的安全保障，核心体现为“全民皆兵”、“全程联动”、“全面防御”、“全线定制”。

　　虽然只是言简意赅的四个词语，其中却蕴涵着锐捷网络多年来致力于金融信息化事业的丰富经验和积极探索，同时也传递出锐捷网络对中国金融信息化建设的深刻理解……

　　2003年是中国进入WTO的第三年，众多外资银行等金融机构的争相涌入在很大程度上加速、加大着国内金融信息化的步伐和力度。现阶段，中国的金融信息化已经走过了“金融电子化”，正向“金融信息化”深层次迈进。在数据大集中之后，通过数据仓库、数据挖掘(DM)等日渐成熟的技术，加强客户和市场分析，构建新型银行经营管理体系已经成为必然的应用发展目标。在这一过程中，银行起步较早、发展较快，到目前为止已经基本完成了数据大集中的工作，而保险、证券和基金等其他领域的数据大集中工程则正在如火如荼的进行当中。

　　对此，锐捷网络认为：金融信息化的遍地开花有力地促进了传统运营模式和服务模式的现代化变革，使未来金融业务全面虚拟化的美好蓝图成为可能。但同时数据的集中也意味着风险的集中。同时，锐捷网络进一步指出，我国当前的网络安全建设中存在着四大方面的欠缺：整体安全系统建设的欠缺；内部网络安全监控与防范的欠缺；智能与主动性安全防范体系建设的欠缺以及全面集中安全管理策略平台定制方面的欠缺。

　　在未来中国金融产业深化信息化建设的过程中，不管是新一代“AAA”式服务（任何时候(Anytime)、任何地方(Anywhere)、以任何方式(Anyhow)为客户提供方便、安全的金融服务）还是从Saving Bank向Service Bank转变，种种金融创新都将对网络的安全保障以及支持未来业务的综合性能提出更高的要求。在信息化建设作为银行等金融产业发展的主要技术支撑的同时，全方位的网络安全无疑已经成为金融创新的主要源动力。搭建稳定的网络平台，创造安全的应用环境，为金融业务的大集中浪潮提供最强的支撑力和实现保障已经成为网络厂商们所刻不容缓的职责和任务。

　　作为中国金融信息化的参与者和推动者，锐捷网络自成立以来，一直秉承“敏锐把握应用趋势，快捷满足客户需求”的理念，密切关注着中国金融信息化的发展和进程。凭借强大的自主研发实力，通过对国内金融用户实际需求和网络应用发展趋势的精准把握，锐捷网络总结和提炼出了“SAFER”金融网络解决方案，并在新形势下加强和全面契合了安全方面的考虑，提出了数据大集中后未来金融网络应当“安全无处不在”的“大安全”理论。

　　认为：金融网络方案中的每个设备在研发的时候就应当考虑到整体的安全方案，网络安全不仅仅是网络中的某一个设备的事，而是方案内的每个设备都应具有网络安全方面的考虑，特别是与客户端直接相连的接入层。对全部网络构成元素和设备进行安全总动员，一齐构筑金融网络立体化的防御工事，从而创造金融网络的安全环境、保证业务应用的“得心应手”。

　　在成熟的“SAFER”构架之下，全新的无处不在的“大安全”得到了最充分的体现，其核心通过四个词语基本涵盖：“全民皆兵”、“全程联动”、“全面防御”和“全线定制”。

　　全民皆兵：实现网络端到端的安全。锐捷网络认为，金融网络中的每一个设备都要具备安全防御功能。针对金融网络对安全的要求，锐捷网络在进行产品研发时将安全作为设计基础的重点，从整体金融网络解决方案的角度去部署每一个设备应该具有的安全特性，以此保证实现端到端的安全金融网络。比如，在接入安全性方面，锐捷网络提供了通过对用户的用户名／密码、IP地址、MAC地址、VLAN ID、Port号六元素的灵活绑定，实现不同级别的安全认证。同时在系统安全性方面，方案提供了线层访问控制列表，在提高网络安全性的同时，不会对交换性能产生影响。

　　全程联动：打造安全体系而非单个防御工事。锐捷网络认为，网络的安全是一个系统的工程，每一个设备不但承担着自己的安全职责，同时又需要做到协同作战共同保障网络安全。比如，网络接入层设备，作为用户接入的门户，需对每一个接入用户进行认证和数据分析，从而实现对用户访问有效的监控，保证用户身份的合法性。而网络的后台管理软件将会对接入设备收集到的数据进行分析，并做出决策让接入用户通过或者屏蔽，同时通过日志系统，及时记录做到有据可查。另外，在网络病毒日益泛滥的今天，可以有效的通过网络后台的安全管理平台，在交换机上智能的屏蔽接入端口，避免接入PC被病毒感染后导致网络瘫痪。如果网络可以达到这样的防御水平，那么近期肆虐的“冲击波”、“大无极”病毒就没有那么可怕了，其危险和造成的损失也将降低到最小程度。

　　全面防御：锐捷网络主张网络安全是主动而非被动防御。通过将安全防御系统分布在网络边缘（即战场第一线），能够将可能发生的各种网络攻击在接入层就进行有效的屏蔽。同时，由于将防御系统分布在网络边缘，就不会影响整体网络的数据处理速度，从而保证网络整体的性能。比如，可以通过二层交换机实现丰富的ACL功能，灵活的对营业业务、管理业务、语音业务以及视频应用的每一个用户的访问权限进行严格的控制，可以限制用户对某个子网或对某台服务器的访问，并且只能访问某些端口；对用户间的访问则进行灵活的控制，如果某个用户试图越权访问中心的服务器，本地交换机会阻断该数据包。这种防御方式一方面把用户的访问权限限制在了本地，根本不允许非法的访问通过网络主干。另一方面减轻了核心交换机的负载。同时锐捷安全交换机的所有ACL依靠硬件实现，所以不会影响交换机的性能。

　　全线定制：契合需求，量体裁衣。针对金融行业对网络安全的不同需要，锐捷网络可为用户提供不同的网络安全解决方案。例如，锐捷网络可以提供不同的安全认 证级别，如多元素绑字可以根据用户需求进行灵活配置，从而实现不同级别的安全认证保障。同时，针对国情的差异性，锐捷网络还具有目前国内最全的产品线，保证不同层次用户的需求得到充分满足。

　　提及金融网络安全防范，人们往往想到的是通过网络防火墙、外部入侵控制、访问控制来解决金融外网所带来的安全威胁而恰恰忽略了金融内网存在的严重安全隐患。有来自银行内部的报告显示，目前大多数金融犯罪根源都来自金融内部网络，由金融内网安全漏洞所引发的案件数量惊人。而根源往往来自于金融内网中未授权的访问、身份仿冒、报文窃听、破坏修改数据资源等。

　　鉴于此，在“大安全”理念的指导下，根据“SAFER”框架，锐捷网络研发了为金融网络安全量身定制的“网警”安全管理平台。锐捷网络“网警”安全管理平台专门针对银行内部局域网的潜在隐患，结合银行对网络平台的应用需求，主要在用户身份的唯一合法性认证、防止因内网用户与外网（INTERNET等）私立连接使金融网络对外暴露开放、及时准确记录跟踪用户上网行为有据可查、完善IP管理等四大方面对金融内网的隐患进行了屏蔽和防范，充分体现了“内网更安全，边缘也智能”安全管理思想。

　　针对用户身份的合法性认证，“网警”通过对包括用户帐号／密码、MAC地址、用户IP地址、交换机端口、VLAN ID在内的多元素灵活组合绑定，来实现不同级别的安全认证，从而有效屏蔽上述风险。

　　面向金融局域网中可能出现的通过个人PC上的MODEM拨号上INTERNET，锐捷网络“网警”安全管理平台能够将登陆INTERNET的内部用户剔除局域网，做到了拨号上INTERNET和访问局域网不能共存。

　　对于用户数最多、访问最频繁的网络，为了能有效的监控用户的网络行为，做到有据可查，锐捷网络的日志纪录系统LogServer能够对网络用户上网行为进行记录与分析、审计对核心关键信息的访问。用户上网行为的记录可以把包括源IP地址、目标IP地址、源端口、目的端星空体育登录入口 星空体育在线官网口、源MAC、目的MAC、开始时间、最后发送时间和最后接受时间等详尽的网络流量记录。

　　由于各级分行网络现在普遍的采用的是静态分配IP地址的方式，如果用户更改自己的网络配置，会导致冲突，引起多方不能使用网络，影响正常的办公；另外还可能发生IP地址盗用事件，利用盗用的IP地址，发表反动言论、进行恶意攻击等等，这样，会给金融行业的工作带来巨大的安全隐患和不便。对此，锐捷“网警”安全管理平台能实时检测到用户IP地址的改变，通过强制用户下线的方法，将用户至于局域网之外，能够有效的避免冲突带来的办公中断、也能够有效的避免IP盗用带来的安全事故。

　　应用是金融信息化的目的和归宿，而安全则是金融业永恒不变的主题。在未来业务全面集中的金融网络中，全面安全已经成为成功实现金融业务永续至关重要的先决条件。

　　对于企业IT专业人员，上至CIO下至一般员王来说，整合已经成为一种方法和策略的要求。现在大多数对于整合的反应主要集中在数据中心整合，但却忽略了整合所带来的更显著优势：网络安全。

　　整合网络安全同时带来显著的成本优势。据Gartner报告，2008年信息安全组织节省资金最主要的方式是将已有的安全功能融合到基于网络或主机的安全平台中去，这种安全平台可以在单一的产品上提供多层次安全来防御不断演变的多重网络与内容威胁。

　　网络安全整合可谓正逢其时，关注安全的IT专业人员发现自己处于三大趋势整合引发的完美风暴中心。首先，IT预算增长放缓，根据ComputerEconomics近期对IT决策者进行的一次调查显示，IT预算的平均预望增长率只有2.5％。

　　其次，在控制预算的管理人员中存在着一种令人遗憾的倾向：即满足于网络安全现状与合规问题。从某种意义上说，网络安全已经成为自身成功处理新的威胁与新的管理制度的牺牲品。几年没有关于网络攻击的重大新闻了，许多管理人员可能认为安全问题已经“解决”。

　　最后也许是最重要的一点，即现在网络安全问题日益复杂：出现了一些越来越复杂的威胁以及由新应用程序导致的漏洞。攻击的目的已不再专注于提升黑客知名度，而是转向获取金钱，有组织的犯罪开始利用网络安全的弱点进行攻击。

　　通过UTM平台进行的网络安全整合为您在这次风暴中提供了一种全新的途径：相比难以整合的单点方案，UTM以更低的成本提供更有效的安全。而软件和硬件层面更紧密的整合则提供了更高的安全性。而这是通过提供更全面的威胁覆盖和更高的扩展性来实现的。

　　您目前所面临的威胁主要来自网络与内容层。网络威胁包括使用“僵尸”网络的分布式拒绝服务攻击，窃听和其它入侵以及一般的蠕虫。基于内容的威胁包括更加复杂的蠕虫、病毒、网络钓鱼、网域嫁接、间谍软件和垃圾邮件等。

　　攻击者不断提升的复杂性也增大了网络与内容层威胁混合攻击的频率。有目标的攻击会加快繁殖速度，更深入地渗透到有价值的资源。通过对策共享，利用UTM平台整合您的网络安全可以显著提高检测以及阻止标准攻击以及更为复杂的多重矢量攻击能力。

　　虚拟化对于开启更多的安全功能尤为重要，例如建立多重及分离的安全域的能力，以便隔离并区e对待不同信任等级的资源。

　　现在没有切实可行的方法来统一和集中管理多厂商的安全解决方案，甚至某些厂商的解决方案通常是收集OEM解决方案进行组装的产物。这些解决方案很可能提供一种不完整的、局部整合的管理方法，其复杂性会减弱监督以及反击网络和内容层威胁的能力。

　　相比较而言，集中可以使你具备立即实现远程管理多台设备的能力。通过单一的控制界面就可以在全球所有网域建立或修改所有的设置。统一的日志和报告功能使合规审计工作更加方便。最后，你可以使用一套普通的管理程序来管理所有类e的装置。随着企业的成长，这对您随企业成长进一步扩展解决方案的能力来说至关重要。作为一个关注网络安全的IT专业人员，你会面临着大量不断演变的威胁和日益增长的合规需求。但是你不得不在管理这种动态“威胁”和企业的其它要求之间找到平衡点，这些要求包活成本、有限的数据中心空间、可管理性以及日益增长的环境问题等。

　　传统的防病毒研究人员与漏洞研究人员之间存在竞争。然而，随着攻击越来越复杂且形式更多样，他们需要一种综合方法来解决结合了这两种学科的威胁研究。

　　那些依靠OEM技术来充实他们产品的厂商依赖于他们的供应商提供的威胁研究。由于各种威胁的理解遍布于多个厂商，不管他们的专业知识多么丰富，这种交叉学科的知识共享量自然是有限的，这使得理解什么是多模威胁以及如何让各种解决方案最有效的协作来对抗他们变得更加困难。

　　相反，一个真正整合的UTM解决方案背后的威胁研究则是由一个受过高度专业培训且对各种威胁和对策都具有丰富经验的研究团队共同努力完成的，它由知识共享体系和为突出那些结合多种不同威胁的多模攻击方法而设计的流程，这样就可以更快更准确地监测新威胁并制定适当的对策。

　　同其它IT领域一样，网络安全管理人员在日益面临同样的成本要求。改进服务的同时，也要降低包括运营成本和资本支出相关的总体拥有成本。

　　显然，购买更少的系统可以降低初期资本支出，事实上在许多企业。数据中心空间越来越有限，因此在机架上任何可能的缩减都对帮助避免设备扩张十分重要。或许整合网络安全平台最重要的总体拥有成本优势正是在扩展性方面。企业一般很少立即将UTM的各种功能全部开启。更可能的做法是，会开始整合几种安全功能，如防火墙，VPN和IPS，然后考虑在将来添加一些其它的功能。通过一个整合解决方案，而这些功能已经存在，通过简单的订购即可用最小的成本投入获得所有所需添加的新功能。

　　网络安全整合带来更大的运营成本优势。多厂商、亦或来自单厂商的多设备方案，会导致更大的管理负担。这迫使你的安全人员疲于应付，留给她们更少的时间采取积极主动的措施来支持业务增长。而通过一个整合的方法，不仅使您用于培训、维修、支持和威胁更新的成本更低，而且更加简单快捷，因为您只需处理来自一个厂商的一个管理界面和一套更新设备就可以了。

　　环保意识是消费者与厂商开展业务时越来越重视的问题。据IDC调查，超过50％的消费者把厂商是否注重环保作为选择供应商的一个考虑因素。这也被高级管理层所重视：几乎80％的管理人员越来越看中绿色IT。